企业数据合规体检要点之五：技术措施

发布时间:

2024-09-05

作者:

陈嘉伟张功俐

来源:

至融至泽

企业数据合规体检专题系面向企业内部人员提供开展数据合规核查及整改工作的指引，本专题总结了企业开展数据合规体检工作的十大要点，希望帮助企业内部人员了解数据合规工作所包含的具体内容，通俗而言，即数据合规工作到底需要做什么以及需要做到什么程度。

本篇系本专题第五篇，重点聚焦企业需采取的数据合规相关技术措施。

一、常见技术措施类型概览

《网络安全法》、《数据安全法》、《个人信息保护法》等相关法律法规均规定企业应当采取相应的技术措施以保障网络安全、数据和个人信息安全。实践中，技术措施也是监管检查时的重点关注内容，企业未采取有效技术措施导致发生数据泄露等危害后果可能被监管部门予以处罚。而即便暂未发生危害后果，若监管部门发现企业未按照相关法律法规要求采取相应技术措施也可能直接予以处罚。有效的技术措施是网络安全、数据安全的重要保障，企业应当予以充分重视。

结合相关法律法规、国家标准文件等规定的要求及行业实践情况，企业应当采取的技术措施类型主要包括：

技术措施	主要法规出处
防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施	《网络安全法》第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改： ······ （二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
监测、记录网络运行状态、网络安全事件的技术措施
数据备份	《网络安全法》第二十一条： ······ （四）采取数据分类、重要数据备份和加密等措施；
数据加密	《网络安全法》第二十一条： ······ （四）采取数据分类、重要数据备份和加密等措施；《个人信息保护法》第五十一条：个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失： ······ （三）采取相应的加密、去标识化等安全技术措施；
日志记录和处理活动记录措施	《网络安全法》第二十一条： ······ （三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；《信息安全技术个人信息安全规范》（GB/T 35273—2020）个人信息控制者宜建立、维护和更新所收集、使用的个人信息处理活动记录，记录的内容可包括： a）所涉及个人信息的类型、数量、来源（如从个人信息主体直接收集或通过间接获取方式获得）； b）根据业务功能和授权情况区分个人信息的处理目的、使用场景，以及委托处理、共享、转让、公开披露、是否涉及出境等情况； c）与个人信息处理活动各环节相关的信息系统、组织或人员。
个人信息去标识化和匿名化措施	《个人信息保护法》第五十一条：个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失： ······ （三）采取相应的加密、去标识化等安全技术措施；《个人信息保护法》第四条第一款：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。第七十三条： ······ （四）匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。《信息安全技术个人信息安全规范》（GB/T 35273—2020） 6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。 7.2 个人信息的展示限制涉及通过界面展示个人信息的（如显示屏幕、纸面），个人信息控制者宜对需展示的个人信息采取去标识化处理等措施，降低个人信息在展示环节的泄露风险。例如，在个人信息展示时，防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。
访问控制和操作限制措施	《个人信息保护法》第五十一条：（四）合理确定个人信息处理的操作权限······ 《信息安全技术个人信息安全规范》（GB/T 35273—2020） 7.1 个人信息访问控制措施对个人信息控制者的要求包括： a）对被授权访问个人信息的人员，应建立最小授权的访问控制策略，使其只能访问职责所需的最小必要的个人信息，且仅具备完成职责所需的最少的数据操作权限； b）对个人信息的重要操作设置内部审批流程，如进行批量修改、拷贝、下载等重要操作； 11.7 安全审计对个人信息控制者的要求包括：应防止非授权访问、篡改或删除审计记录；
数据安全风险监测和预警措施	《数据安全法》第二十九条：开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；

二、技术措施应用的关注要点

1、基于数据分类分级情况和数据处理全生命周期梳理落实所应采取的安全技术措施

数据分类分级是数据安全管理工作的核心措施之一，企业需根据数据分类分级情况，针对不同类别、级别的数据采取相应的安全技术措施。通常级别更高的数据应采取更为严格的技术措施，特别是若涉及处理重要数据和核心数据，则更应当加强保护。

在梳理和评估企业采取的数据保护技术措施是否充分、有效时，建议企业考虑从数据处理的全生命周期出发，基于数据收集、存储、使用、加工、传输、提供、公开、删除等全流程梳理对应的安全技术措施。

2、关注特定领域的法律法规、标准文件等规定对技术措施的要求

除《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的通行性规定外，特定领域的规定也可能对企业需采取的技术措施有所要求。例如工信领域，《工业和信息化领域数据安全管理办法（试行）》第三章规定了数据全生命周期安全管理要求，包括要求工信领域的数据处理者根据数据安全级别采取相应的安全措施等；金融领域，《银行保险机构数据安全管理办法》（征求意见稿）、《金融数据安全数据生命周期安全规范》（JR/T 0223-2021）、《个人金融信息保护技术规范》（(JR/T0171-2020）等规定也对金融数据安全技术保护措施有所要求。汽车领域，根据《汽车数据安全管理规定（试行）》、《信息安全技术汽车数据处理安全要求》（GB/T 41871-2022）等规定，汽车数据处理者需对汽车数据的收集、传输等处理活动采取相应的安全技术措施。

3、关注相关规定中对特定类别数据的要求

特殊类型的数据可能要求采取严格的技术措施以加强保护，如上述分析，涉及重要数据和核心数据时，往往需要采取更加严格的技术措施。

实操中，企业如涉及处理敏感个人信息的，通常也需要采取更加严格的安全技术措施。根据《个人信息保护法》第二十八条的规定，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。《信息安全技术个人信息安全规范》第6.3条规定“传输和存储个人敏感信息时，应采用加密等安全措施”。《信息安全技术敏感个人信息处理安全要求》（征求意见稿）等规定中也对敏感个人信息的处理提出了相应的保护措施要求。

此外，如涉及处理人脸等生物识别信息的，还需要关注处理生物识别信息的特殊要求，例如《信息安全技术个人信息安全规范》第6.3条规定“原则上不应存储原始个人生物识别信息（如样本、图像等）”。《信息安全技术人脸识别数据安全要求》（GB/T 41819-2022）中也对传输、存储等处理人脸识别数据的行为提出了相应的安全技术措施要求。

4、关注并留存相关的技术措施有效性证明

企业应当注意留存相关的技术措施有效性证明，例如企业开展的数据安全风险评估、数据安全认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评、APP和小程序技术检测等工作的相关文件、证书等材料，该等材料一定程度上可以作为企业采取的技术措施有效性的佐证。

陈嘉伟

邮箱：jiawei.chen@ronzelaw.com

张功俐

邮箱：gongli.zhang@ronzelaw.com

返回列表